опасности для пользователя CSS

Question

Существуют ли какие-либо опасности или угрозы безопасности при разрешении пользователю css?

Извините за неопределенный вопрос. Возможная реализация: наличие текстовой области для ввода пользователем пользовательских css, а затем взятие этого css и помещение его в элемент стиля: <style type="text/css"></style> с js.

Answer 1

Да, существует множество потенциальных XSS-атак, в основном через размещение JavaScript в URL для background-image и прочего.Найдите «style» в XSS Cheat Sheet для некоторых примеров.

Существует также вероятность того, что пользовательский CSS может сломать ваш сайт, например, сделав навигационное меню размером 0x0 пикселей или переместившисьэто за кадром до -1000, -1000.Или сам CSS может ссылаться на изображения с других сайтов, которые, как вы не можете гарантировать, будут продолжать работать.

Answer 2

Если единственным пользователем, на которого воздействует CSS, является пользователь, предоставивший CSS, риск невелик.Любая уязвимость XSS может повлиять только на пользователя.

В некоторых браузерах пользователи могут использовать пользовательский CSS в любом случае или вообще его игнорировать, поэтому я не считаю это проблемой.

Answer 3

Весь пользовательский ввод грязный

Что если они напишут какой-нибудь CSS, который скрывает или скрывает что-то вроде логина?

Есть также несколько проблем, есть взлом истории CSS, несколькоXSS-уязвимости, связанные с URL-адресами, и, возможно, другие, о которых не задумывались.

Всегда очищайте пользовательский ввод перед отображением его на странице.

Answer 4

Это зависит от того, как вы реализуете эту функциональность.Если вы предоставляете форму, которая позволяет людям выбирать свои собственные значения CSS, тогда существует риск грязного ввода.